Het kabinet werkt aan een nieuw wetsvoorstel dat de cyberveiligheid in Nederland moet versterken. Dit voorstel, dat sectoren als zorg, overheid en voedselindustrie verplicht om veiligheidsmaatregelen te treffen, kan ook hogescholen en universiteiten omvatten. Dit betekent dat onderwijsbestuurders medeverantwoordelijk kunnen worden voor de digitale weerbaarheid van hun instelling. Dit meldt de Hogeschool Utrecht.
Tijdens het vragenuur in de Tweede Kamer verwees Barbara Kathmann (GroenLinks-PvdA) naar de recente cyberaanval op de Technische Universiteit Eindhoven. Ze benadrukte dat deze incidenten een bredere dreiging vertegenwoordigen. “Vandaag is het de TU Eindhoven die getroffen wordt, maar morgen is het onze energievoorziening of zijn het onze operatiekamers,” waarschuwde ze.
Kathmann pleit voor een verplicht 48-uursplan in vitale sectoren, zoals havens, ziekenhuizen en onderwijsinstellingen. Dit plan zou ervoor moeten zorgen dat instellingen na een cyberaanval snel hun systemen weer operationeel krijgen of anders tijdelijk op analoge wijze kunnen werken.
Wetsvoorstel in de maak
Staatssecretaris van Justitie Teun Struycken (NSC) bevestigde dat er een wetsvoorstel in de maak is om de cyberweerbaarheid te verhogen. Deze wet verplicht vitale sectoren om specifieke veiligheidsmaatregelen te nemen, waaronder plannen voor de eerste 48 uur na een aanval. Of het hoger onderwijs onder deze wet zal vallen, wordt nog onderzocht.
Financiering en bezuinigingen
Kathmann uitte zorgen over de financiële situatie van universiteiten en hogescholen. Hoewel er extra geld is gereserveerd voor cybersecurity, zijn er tegelijkertijd forse bezuinigingen in het hoger onderwijs. Ze vroeg zich af hoe instellingen hun digitale weerbaarheid kunnen garanderen met beperkte middelen.
Struycken benadrukte dat veiligheid een kernprioriteit moet blijven, ongeacht de beschikbare budgetten. Instellingen moeten deze prioriteit meenemen in hun inzet van mensen en middelen, stelde hij.
Inzicht in cyberweerbaarheid
Jesse Six Dijkstra (NSC) vroeg of het kabinet weet hoe het staat met de huidige cyberweerbaarheid van het hoger onderwijs. Struycken gaf aan dat dit momenteel in kaart wordt gebracht. Deze analyse zal ook helpen bepalen of onderwijsinstellingen onder de nieuwe wetgeving gaan vallen.
Toezicht en aansprakelijkheid
Don Ceder (ChristenUnie) stelde vragen over het toezicht op cyberveiligheid. Hij verwees naar de aanval op de Universiteit Maastricht in 2019 en vroeg zich af hoe universiteiten zoals Eindhoven lessen uit dergelijke incidenten trekken.
Struycken gaf aan dat het onderzoek naar de aanval op de TU Eindhoven nog loopt. De uitkomsten zullen duidelijk maken of er sprake is van tekortkomingen.
Volgens de nieuwe wet worden bestuurders direct verantwoordelijk voor de implementatie van veiligheidsmaatregelen. Struycken kondigde aan dat bestuurders in sectoren onder de wet een opleiding moeten volgen om effectief toezicht te kunnen houden op digitale veiligheid.
Vooruitblik
Het wetsvoorstel zal de komende maanden verder worden uitgewerkt en aan de Tweede Kamer worden voorgelegd. Ondertussen blijft het kabinet het cyberrisico in het hoger onderwijs en andere sectoren monitoren. Als de wet wordt aangenomen, kan dit grote gevolgen hebben voor de verantwoordelijkheden en prioriteiten van onderwijsinstellingen.
Door: Nationale Onderwijsgids / Fleur Zomer
